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(54) Authentifizierungssystem und -verfahren in einem drahtlosen lokalen Netzwerk 



(57) Verfahren und System zur Authentication ei- 
ner mobilen Netzwerkeinheit (60, 65) eines Benut- 
zers (10) in einem WLAN (40, 48), wobei benutzer- 
spezifische Authentifikationsdaten uber einen Access 
Point (401 , 411 , 421 , 481 ) des WLAN (40,..., 48) an 
eine Zentraleinheit (30) ubermittelt werden, wobei die 
benutzerspezlf ischen Authentifikationsdaten mit minde- 
stensTeilen von zur Authentifikation in einerDatenbank 
(31) zugeordnet abgespeicherten Benutzerdaten mit- 
tels der Zentraleinheit (30) verglichen werden und wobei 



bei erfolgreicher Authentifizierung die mobile Netzwerk- 
einheit(60, .... 65) zurBenutzung des WLAN (40, ...,48) 
freigegeben wird. insbesondere wird von der mobilen 
Netzwerkeinheit (60, 65) ein Identifikationscode des 
Benutzers (10) zusammen mit vom Benutzer (10) be- 
stimmbarenZusatzinformationsdaten an die Zentralein- 
heit (30) ubermittelt und die Zentraleinheit (30) generiert 
basierend auf dem Identifikationscode und der vom Be- 
nutzer (10) bestimmbaren Zusatzinformationsdaten ein 
Login-Passwort (22) fur den Benutzer. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Verfah- 
ren und System zur Authentifizierung von mobilen Netz- 
werkeinheiten (Nodes) in einem drahtlosen lokalen 
Netzwerk WLAN (Wireless Local Area Network), wobei 
zur Authentifikation der mobilen Netzwerkeinheit benut- 
zerspezifische Authentifikationsdaten uber einen Ac- 
cess Point des WLAN an eine Zentraleinheit ubermittelt 
werden, wobei die benutzerspezifische Authentifikati- 
onsdaten mit mindestens Teilen von zur Authentifikation 
in einer Datenbankzugeordnet abgespeicherten Benut- 
zerdaten durch die Zentraleinheit verglichen werden 
und wobei bei erfolgreicher Authentifizierung die mobi- 
len Netzwerkeinheit zurBenutzung des WLAN durch die 
Zentraleinheit freigegeben wird. Insbesondere betrifft 
die Erfindung ein Verfahren und System, bei welchem 
die Authentifikation von verschiedenen WLANs mit un- 
terschiedlichen Access Point Servern uber eine mit den 
Access Point Server verbundene Zentraleinheit erfolgt. 
[0002] Lokale Netzwerke (LAN: Local Area Network) 
bestehen ublicherweise aus sog. Nodes, welche ver- 
bunden sind uber physikalische Medien, wiez.B. Koaxi- 
alkabel, Twisted PairoderoptischeGlasfaserkabel. Die- 
se LANs werden auch als wired LANs (verdrahtete Fest- 
netze) bezeichnet. In den letzten Jahren sind auch 
drahtlose LANs, sog. wireless LANs immer popularer 
geworden (z.B. durch Entwicklungen wie das AirPort- 
System der Apple Computer, Inc.). Wireless LANs sind 
speziell geeignet um mobile Einheiten (Nodes), wie z. 
B. Laptops, Notebooks, PDAs (Personal Digital Assi- 
stant) oder Mobilfunkgerate, insbesondere Mobilfunkte- 
lefone, mit einer entsprechenden Schnlttstelle, in ein lo- 
kales Computernetzwerkeinzubinden. Die mobilen No- 
des besitzen einen Adapter, weicher einen Sender/ 
Empfanger sowie eine Kontrollkarte umfasst (wie z.B. 
lnfrarot(IR)-Adapter oder einen Tieffrequenzradiowel- 
len-Adapter). Der Vorteil vonsolchen mobilen Nodes ist, 
dass sie innerhalb der Reichweite des wireless LANs 
frei bewegt werden konnen. Die mobilen Nodes kom- 
munizieren entweder direkt miteinander (Peer-to-Peer 
wireless LAN) oder schicken ihr Signal an eine Basis- 
station, welche das Signal verstarkt und/oder weiterlei- 
tet. Die Basisstationen konnen ebenfalls Bridgefunktio- 
nen umfassen. Uber solche Basisstationen mit Bridge- 
funktionen, sog. Access Points (AP), konnen die mobi- 
len Nodes des drahtlosen LAN auf ein wired LAN zu- 
greifen. Typische Netzwerkfunktionen eines Access 
Points umfassen das Ubertragen von Meldungen von 
einem mobilen Node zu einem anderen, das Senden 
von Meldungen vom wired LAN zu einem mobilen Node 
und das Ubertragen von Meldungen eines mobilen No- 
des auf das wired LAN. 

[0003] Die physikalische Reichweite eines AP wird 
Basic Service Area (BSA) genannt. Befindet sich ein 
mobiler Node innerhalb der BSA eines AP, kann er mit 
diesem AP kommunizieren, fails der AP ebenfalls inner- 
halb der Signal-Reichweite (Dynamic Service Area 
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(DSA)) des mobilen Nodes liegt. Mobile Nodes besitzen 
typischerweise eine Signalstarke von 1 00 mWatt bis zu 
einem Watt. Um das wireless LAN mit dem wired LAN 
zu verbinden, ist es fur den AP wichtig zu bestimmen, 

5 ob eine bestimmte Meldung (information frame) auf dem 
Netz ftir einen Node bestimmt ist, der innerhalb des 
wired LAN oder innerhalb des wireless LAN liegt und 
diese information, falls notwendig, an den entsprechen- 
den Node weiterzuleiten. Fur diesen Zweck besitzen 

10 APs sog. Bridge-Funktionen, z.B. entsprechend dem 
Standard IEEE Std 802.1 D-1990 "Media Access Con- 
trol Bridge" (31 -74 ff). Beisolchen Bridgefunktionen wird 
ein neuer mobiler Node im wireless LAN typischerweise 
in einer FDB (Filtering Database) des AP registriert, in 

15 dessen Reichweite der Node liegt. Bei jedem Informa- 
tion-Frame auf dem LAN vergleicht der AP die Ziel- 
adresse mit den Adressen (MAC-Adressen (Media Ac- 
cess Control Addresses)), welche er im FDB abgespei- 
chert hat und sendet, verwirft oder ubertragt den Frame 

20 auf das wired LAN bzw. auf das wireless LAN. Die 
Reichweite eines wireless LAN ist limitiert durch Fakto- 
ren, wie z.B. Wellenlange des Signals, Signalstarke, 
Hindernisse etc. Die Radiofrequenzparameter sind ge- 
mass den in den meisten Landern bestehenden mehr 

25 oder weniger strengen Vorschriften nicht frei wahlbar, 
was die Reichweite weiter einschrankt. 
[0004] Fur WLAN existieren viele verschiedene Zu- 
griffsverfahren (Access-Verfahren) im Stand der Tech- 
nik, welche einem Benutzer eines mobilen Netzgerates 

30 erlauben : auf ein lokales drahtloses Netzwerk zuzugrei- 
fen. Einige dieser Access-Verfahren, wie z.B. Carrier 
Sense Multiple Access/Collision Detection (CSMA/CD) 
oder Token-Passing, zelgten einen grossen Erfolg in ih- 
rer industriellen Verwendung. Heute hat die Benutzung 

35 von Local oder Wide LANs meist keine klar definierten, 
vorausbestimmten Charakteristiken mehr. Mit dem Auf- 
kommen von heterogenem Multimediadatenaustausch 
(z.B. Video-Daten-Streams etc.) uber WLANs werden 
die Quality of Service (QoS) Parameter fur eine be- 

40 stimmte Datenaustausch-Art (oder Applikation) immer 
wichtiger. Solche Parameter umfassen z.B. hochstmog- 
liche Bandbreite, tiefstmoglichen Delay etc. Fur solche 
Zugriffe wurden neue Zu griffs verfahren in den asyn- 
chronen oder synchronen Netzwerken entwickelt und 

45 konnen im Stand derTechnik gefunden werden. 

[0005] Zusammen mit dem Aufkommen der WLAN 
und der Standard is ierung der Zu griff sverf ah ren und der 
physikalischen Layerspezifikationen fur WLANS, wie z. 
B. den 802.X physikalischen Layerprotokollen und nicht 

50 802.X Protokollen (z.B. ATM: Asynchronous Transfer 
Mode Protocol) wurde auch das Sicherheitsbedurfnis 
fur Benutzer und Dienstanbieter solcher Netze immer 
grosser. Benutzererkennung uber traditionelle Verfah- 
ren z.B. mit der Eingabe eines Benutzernamens (User- 

55 name) und eines Passwortes genugen den heutigen 
Anforderungen moderner WLANs meistens nicht mehr. 
Im Stand der Technik wurden deshalb verschiedenste 
Verbesserungen der Authentifizierung eines Benutzers 
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vorgeschlagen, Einige davon hatten grossen Erfolg so- 
wohl in der Industrie als auch im Home-Sektor. Eine weit 
verbreitete Methode zur Erhohung der Sicherheit ist z. 
B. eine Authentication, bei welcher der Benutzer zu- 
satzlich einen Identifikationcode einer Streichliste mit 
personlichen Identifikationcodes eingibt. Die Streichli- 
ste muss vorgangig dem Benutzer von Dienstanbieter 
des Netzes zuganglich gemacht worden sein. Gangige 
Beispiele fur solche Anwendungen sind heute fast im 
gesamten E-Banking-Bereich zu finden. Nachteil einer 
solchen Authentifizierung ist, dass trotz dem Streichli- 
stenverfahren nur eine eingeschrankte Sicherheit er- 
reicht werden kann, insbesondere wenn z.B. die 
Streichliste gestohlen oder verloren wird oderanderwei- 
tig abhanden kommt. Ein weiterer Nachteil derStreich- 
listen ist derfiir den Benutzer unhandliche, komplizierte 
Umgang, so muss erz.B. die Streichliste stets mit sich 
fiihren, wenn die Authentifikation vorgenommen wird. 
Vergisst er einmal, einen Kode zu streichen oder Ciber- 
springt er aus Versehen einen Kode, funktioniert die 
Streichliste nicht mehr. Im Stand der Technik sind auch 
sog. digitale Unterschriften bekannt, mittels welchen 
Daten im Allgemeinen, insbesodere aberauch Authen- 
tifikationsdaten zusatzlich authentifiziert werden kon- 
nen. Der Benutzer fugt seine digitale Unterschrift den 
Authentifikationsdaten bei, wobei die digitale Unter- 
schrift mittels einem geheimen privaten Schlussel er- 
zeugtwird. Die digitale Unterschrift kan n dann mit einem 
offentlichen Schlussel, der mathematisch mit dem pri- 
vaten Schlussel verknupft ist, auf seine Authentizitat 
uberpruft werden. So lassen sich z.B. die Authentifika- 
tionsdaten basierend auf den beiden Schlusseln chif- 
frieren und dechiffrieren. Damitwird eine zusatzliche Si- 
cherheit erreicht, dass z.B. der Benutzemame und das 
Passwort von Dritten abgefangen werden konnen. Sol- 
che Verschlusselungsalgorithmen erfordern jedoch ei- 
nen grossen mathematischen Entwicklungsaufwand 
und standige Weiterentwicklung, um mit der verbesser- 
ten Dechiffriertechnik und der zunehmenden Rechen- 
leistung Schritt halten zu konnen. Als Drittes sei hier die 
Verwendung einer Identifizierungskarte aufgefiihrt, wie 
sie z.B. in der Mobilfunktechnologie weit verbreitet ist. 
Bei der Identifizierungskarte kann es sich z.B. um Chip- 
karten, wie eine SIM-Karten (Subscriber Identity Modu- 
le) oder Smart- Cards handeln. Auf diesen Karten befin- 
det sich in einem geschutzten und fur den Benutzer 
nicht zuganglichen Speicherbereich ein Identifikations- 
code, der als zusatzliches Authentifikationsmerkmal 
dienen kann. Mit einer solchen SIM-Karte kann das Ge- 
rat, in welchem die SIM-Karte verwendet wird, eindeutig 
identifiziert werden und einem Benutzer zugeordnet 
werden. Im Mobilfunkbereich wird so als Identifikation 
der Chipkarte z.B. eine der Chipkarte zugeordnete 
MSISDN (Mobile Subscriber ISDN), d.h. die Rufnum- 
mer und/oder eine IMSI (International Mobile Subscri- 
ber Identification) verwendet werden. Typischerweise 
ist die IMSI in einem geschutzten Speicherbereich der 
SIM-Karte gespeichert und wird uber ein HLR (Home 



Location Register) oder ein VLR (Visitor Location Regi- 
ster) der entsprechenden MSISDN zugeordnet. Der 
Nachteil der Verwendung einer Identifizierungskarte, 
wie einer SIM-Karte des Standes der Technik ist, dass 

5 die wenigsten mobilen Einheiten (Nodes) uber einen 
entsprechenden Chipkartenleser verfugen. Zudem 
mussen die Kosten fur die Identifikationskarten irgend- 
wie auf den Benutzer abgewalzt werden. Eine Losung 
unter Verwendung eines zusatzlichen Kanals zur Uber- 

10 mittlung des Passwortes, unter z.B. Benutzung eines 
Mobilfunkgerates, wird in der Patentanmeldung EP 0 
976 015 beschrieben. Der Nachteil dieses Standes der 
Technik ist jedoch, dass der Benutzer die Erstellung des 
Passwortes nicht beeinflussen kann, was die Sicherheit 

15 der Authentifikation des Benutzers erheblich verringert. 
[0006] Es ist eine Aufgabe dieser Erfindung : ein neu- 
es Verfahren und System zur Authentifizierung von mo- 
bilen Nodes in einem drahtlosen lokalen Netzwerk vor- 
zuschlagen, welches dieoben beschriebenen Nachteile 

20 nicht aufweist. Insbesondere soil dem Benutzer grosst- 
mogliche Sicherheit bei der Authentifikation geboten 
werden, ohne dass die Anschaffung von zusatzlicher 
Hardware oder das Verwalten von vorgegebenen Pass- 
wortern notig ist. 

25 [0007] Gemass der vorliegenden Erfindung werden 
diese Ziele insbesondere durch die Elemente der unab- 
hangigen Anspruche erreicht. Weitere vorteilhafte Aus- 
fuhrungsformen gehen ausserdem aus den abhangigen 
Anspruchen und der Beschreibung hervor. 

30 [0008] Insbesondere werden dieseZiele durch die Er- 
findung dadurch erreicht, dass beim Anmelden einer 
mobilen Netzwerkeinheit eines Benutzers in einem 
WLAN (Wireless Local Area Network: drahtloses loka- 
les Netzwerk) zur Authentifikation des Benutzers benut- 

35 zerspezifische Authentifikationsdaten uber einen Ac- 
cess Point des WLAN an eine Zentraleinheit ubermittelt 
werden, die benutzerspezifische Authentifikationsdaten 
mit mindestens Teilen von zur Authentifikation in einer 
Datenbank zugeordnet abgespeicherten Benutzerda- 

40 ten durch die Zentraleinheit verglichen werden und bei 
erfolgreicher Authentifizierung die mobile Netzwerkein- 
heit zur Benutzung des WLAN durch die Zentraleinheit 
freigegeben wird, wobei die mobile Netzwerkeinheit ei- 
nem Identifikationscode des Benutzers zusammen mit 

45 vom Benutzer bestimmbare Zusatzinformationsdaten 
an die Zentraleinheit ubermittelt, wobei die Zentralein- 
heit basierend auf dem Identifikationscode und der vom 
Benutzer bestimmbaren Zusatzinformationsdaten ein 
Login-Passwort generiert und das Login-Passwort an 

so ein dem Benutzer zugeordnetes Mobilfunkgerat eines 
Mobilfunknetzes sendet, wobei der Benutzer die mobile 
Netzwerkeinheit mittels des erhaltenen Login-Pass- 
worts im WLAN anmeldet. Das Login-Passwort dient 
der Zentraleinheit dabei als Trigger fur die Authentifika- 

55 tion. Die oben erwahnte Ausfuhrung hat den Vorteil, 
dass dem Benutzer wie dem Dienstanbieter des WLAN 
eine optimale Sicherheit gewahrt wird. Die Authentifika- 
tion wird durch die Identifizierbarkeit des Mobilfunknetz- 
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benutzers und das Senden des Login-Passwortes uber 
ein anderes Netz an ein von der mobilen Netzwerkein- 
heit unabhangiges Gerat maximal erhoht. Gleichzeitig 
wird die Sicherheit durch das Hinzufugen von vom Be- 
nutzer bestimmbaren Zusatzinformationsdaten weiter 
erhoht. Diese Daten konnen als Ausfuhrungsvariante 
von Benutzer sogar vollkommen frei wahlbare Zusatz- 
informationsdaten sein, wobei die Zusatzinformations- 
daten als Grenzfall auch leer sein konnen. Das ganze 
Verfahren und System lasst sich insbesondere realisie- 
ren, ohne dass benutzerseitig an der mobilen Netzwerk- 
einheit irgendwelche Hardwareveranderungen notwen- 
dig waren und ist deshalb im Vergleich zu Hardware- 
Losungen, wie z.B. mit einer SIM-Karte und SIM-Kar- 
ten-Leser, viel kostengunstiger. Dies betrifft nicht nurdie 
Hardwarekosten sondern auch deren Installation. Es 
muss auch darauf hingewiesen werden, dass bei mobi- 
len Netzwerkeinheiten haufig Gewicht- und Platzuber- 
legungen eine Rolle spielen. Die vorliegende Erfindung 
benotigt weder zusatzlichen Hardwareplatz, noch hat 
sie eine Gewichtserhohung des mobilen Endgerates 
(Netzwerkeinheit) zur Folge. 

[0009] In einer anderen Ausfuhrungsvariante umfas- 
sen die vom Benutzer bestimmbaren Zusatzinformati- 
onsdaten geographische und/oder topograph isc he An- 
gaben. Diese Ausfuhrungsvariante hat u.a. den Vorteil, 
dass die Sicherheit z.B. durch Ermitteln des momenta- 
nen Access Points der mobilen Netzwerkeinheit weiter 
erhoht werden kann. 

[0010] In einer weiteren Ausfuhrungsvariante umfas- 
sen die vom Benutzer bestimmbaren Zusatzinformati- 
onsdaten Zeitangaben. Diese Ausfuhrungsvariante hat 
u.a. den Vorteil, dass die Sicherheit durch z.B. eine zelt- 
liche Zugriffsbeschrankung der mobilen Netzwerkein- 
heit erhoht werden kann. 

[0011] In einer weiteren Ausfuhrungsvariante kom- 
munizieren die Access Points eines WLAN mit einem 
zugeordneten Radiusserver, wobei mehrere Radiusser- 
ver unterschiedlicher WLAN mit der Zentraleinheit ver- 
bunden sind, und wobei das Login-Passwort zusatzlich 
basierendauf serverspezifischen Daten des Radiusser- 
ver generiert wird, in dessen WLAN der Benutzer die 
mobile Netzwerkeinheit anmeldet. Diese Ausfuhrungs- 
variante hat u.a. den Vorteil, dass mehrere WLAN zen- 
tral verwaltet werden konnen. Dies ergibt Vorteile im Ko- 
sten- und Zeitaufwand. Zudem ermoglicht das Generie- 
ren des Login-Passwortes, basierend auf serverspezi- 
fischen Daten durch topologischeingeschrankte Netz- 
zugriffserlaubnis, die Sicherheit weiter zu erhohen. 
[0012] In einer anderen Ausfuhrungsvariante gene- 
riert der Radiusserver basierend auf seinen serverspe- 
zifischen Daten und von der Zentraleinheit ubermittel- 
ten, benutzerspezifischen Daten das Login-Passwort, 
welches zu Authentifizierung des Benutzers beim Radi- 
usserver dient. Diese Ausfuhrungsvariante hat u.a. den 
Vorteil, dass sich durch die vom Benutzer bestimmba- 
ren Zusatzinformationsdaten die Sicherheit weiter erho- 
hen lasst, indem die Radiusserver mittels eines Schlus- 
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sel basierend auf serverspezifischen Daten erst das Lo- 
gin-Passwort generieren, ohne das Login-Passwort 
ubermittelt zu erhalten. 

[0013] In einer wieder anderen Ausfuhrungsvariante 
5 erhalt der Benutzer nur Zugriff auf das WLAN desjeni- 
gen Radiusservers uber welchem=-der Zugriffsrequest 
der mobilen Netzwerkeinheit erfolgte. Diese Ausfuh- 
rungsvariante hat u.a. den Vorteil, dass die einge- 
schrankte Zugriffsmoglichkeit die Authentifikationssi- 
10 cherheit erhoht, ohne dass der Benutzer dadurch ir- 
gendwelche Nachteile zu tragen hatte. 
[0014] In einer weiteren Ausfuhrungsvariante erhalt 
der Benutzer nur Zugriff auf das WLAN desjenigen Ra- 
diusservers, dessen geographische und/oder topogra- 
ms phische Daten mit den vom Benutzerbestimmbaren Zu- 
satzinformationsdaten ubereinstimmen. Diese Ausfuh- 
rungsvariante hat u.a. die gleichen Vorteile wie die vor- 
hergehende. 

[0015] In einer Ausfuhrungsvariante wird als Identifi- 

20 kationscodedes Benutzers eine IMSI (International Mo- 
bile Subscriber Identification) und/oder eine MSISDN 
(Mobile Subscriber ISDN) verwendet. Als MSISDN kann 
z.B. die MSISDN des M ob i Ifun kg e rates verwendet wer- 
den, an welches das Login-Passwort geschickt wird. 

25 Dies hat den Vorteil, dass der Benutzer zusammen mit 
der ldentifikation gerade auch das Mobilfunkgerat an- 
geben kann, an welches die MSISDN geschickt werden 
soli. So kann mit verschiedenen MSISDN ein bestimm- 
ter Benutzer identifiziert und mit dem Login-Passwort 

30 etc. entsprechend authentifiziert werden, ohne dass der 
Benutzer vorgangig im System, z.B. in der Datenbank 
der Zentraleinheit, registriert sein muss. 
[0016] Nachfolgend werden Ausfuhrungsvarlanten 
der vorliegenden Erfindung anhand von Beispielen be- 

35 schrieben. Die Beispiele der Ausfuhrungen werden 
durch folgende beigelegte Figuren illustriert: 

Figur 1 zeigt ein Blockdiagramm, welches schema- 
tisch die Architektur einer Ausfuhrungsvariante ei- 

40 nes erfindungsgemassen Systems zum Anmelden 
einer mobilen Netzwerkeinheit 60, 65 eines Be- 
nutzers 1 0 in einem WLAN 40, 48, wobei zur Au- 
thentic kati on der mobilen Netzwerkeinheit 60, 
65 benutzerspezifische Authentifikationsdaten 

45 ubereinen Access Point 401 , 411 , 421 ( 481 des 
WLAN 40,..., 48 an eine Zentraleinheit 30 ubermit- 
telt werden. 

Figur 2 zeigt ein Blockdiagramm, welches ebenfalls 
so schematisch die Architektur eines Systems zum 
Anmelden einer mobilen Netzwerkeinheit 60, 65 
eines Benutzers 10 in einem WLAN 40 48, wo- 
bei zur Authentifikation der mobilen Netzwerkein- 
heit 60, 65 benutzerspezifische Authentifikati- 
55 onsdaten uber einen Access Point 401, 411, 
421, .... 481 des WLAN 40,..., 48 an eine Zentral- 
einheit 30 ubermittelt werden. Bei dieser Ausfuh- 
rungsvariante sind mehrere Radiusserver 70, 71 
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mit der Zentraleinheit 30 verbunden. 

[0017] Figur 1 illustriert eine Architektur, die zur Rea- 
lisierung der Erfindung verwendet werden kann. In die- 
sem Ausfuhrungsbeispiel wird beim Anmelden einer 5 

mobilen Netzwerkeinheit 60 65 eines Benutzers 10 

in einern WLAN 40, 41 , 42 zur Authentication des Be- 
nutzers 1 0 ein Identifikationscode des Benutzers 1 0 zu- 
sammen mit vom Benutzer 10 bestimmbaren Zusatzin- 
formationsdaten iiber einen Access Point 401 ,411, 421 10 
des WLAN 40, 41 , 42 an eine Zentraleinheit 30 iibermit- 
telt. Die Access Points 401 , 411 , 421 konnen z.B. uber 
physikalische Medien 50, wie z.B. Koaxialkabel, Twi- 
sted Pair oder optische Glasfaserkabel mit den zuge- 
ordneten Radiusservern 70, 71 verbunden sein. Die 15 
Verbindung kann Kommunikationsnetze, wie beispiels- 
weise ein Mobilfunknetz, wie ein terrestrisches Mobil- 
funknetz, z.B. ein GSM- oder UMTS-Netz, oder ein sa- 
te I litenbasiertes Mobilfunknetz, und/oderein odermeh- 
rere Festnetze, beispielsweise das offentlich geschalte- 20 
te Telefonnetz (PSTN: Public Switched Telephone Net- 
work) und/oder ISDN (Integrated Services Digital Net- 
work) oder ein geeignetes LAN (Local Area Network) 
oder WAN (Wide Area Network) umfassen. Die Kommu- 
nikation zwischen der Zentraleinheit 30 und den Access 25 
Points 431 , 441 , 481 kann z.B. iiber ein TCP/IP-In- 
terface und/oder CORBA-lnterface, ein ATM-Modul, ein 
SMS- und/oder USSD-Gateway mittelsspezieilen Kurz- 
meldungen, beispielsweise SMS- (Short Message Ser- 
vices), USSD- (Unstructured Supplementary Services 30 
Data) Meldungen oder andere Techniken wie MExE 
(Mobile Execution Environment), uber Protokolle wie 
- GPRS (Generalized Packet Radio Service), WAP (Wire- 
less Application Protokoll) oder uber einen Nutzkanal 
erfolgen. Der Datentransfer zwischen der Zentraleinheit 35 

30 und den Access Points 431, 441 481 wird z.B. 

iiber software- oder hardwaremassig implementierte 
Transfermoduie der Zentraleinheit 30 sowie der Access 
Points 431, 441, 481 eingeleitet und durchgefuhrt. 
Die mobilen Netzwerkeinheiten 60, 65odersog. mo- 40 
bilen Nodes konnen z.B. Laptops, Notebooks, PDAs 
(Personal Digital Assistant) oder Mobilfunkgerate, ins- 
besondere Mobilfunktelefone sein. Die mobilen Nodes 
60, 65 sind mit einer entsprechenden Schnittstelle 
hard- und softwaremassig ausgestattet, um sie in ein 4s 
lokales drahtloses Computernetzwerk (WLAN) einzu- 
binden. Sie kommunizieren mittels Radiofrequenzsi- 
gnalen mit den Access Points 401 , 411 , 421 des WLAN 
40, 41 , 42. Die mobilen Nodes konnen z.B. einen Adap- 
ter umfassen, welcher einen Sender/Empfanger sowie so 
eine Kontrollkarte umfasst (wie z.B. lnfrarot(IR)-Adapter 
oder einen Tieffrequenzradi owe! len- Adapter). Damit 
lassen sich die mobilen Nodes 60, 65 innerhalb der 
Reichweite des wireless LANs frei bewegen. Die Ac- 
cess Points 401 s 411 , 421 des WLAN 40, 41 . 42 konnen 55 
z.B. sowohl die Radiofrequenzsignale der mobilen No- 
des 60, 65 verstarken, als auch Bridgefunktionen 
umfassen, welche es erlauben, vom drahtlosen lokalen 



Netzwerk 40, 41 , 42 auf Nodes eines verdrahteten LAN 
und umgekehrt zuzugreifen. Zur Ubertragung der Ra- 
diofrequenzsignale umfassen die Access Points 401 , 
411, 421 mindestens eine Antenne. Die Antenne kann 
z.B. eine Dipolantenne, eine Schleifenantenne wie eine 
Faltdipolantenne, eine Marconi-Antenne oder eine 
Groundplane-Antenne, eine Richtantenne wie z.B. eine 
Yagi-, eine Kreuzyagi- oder eine Parabolantenne, eine 
Rundstrahlantenne oder ein fraktales Antennensystem 
sein. Die Radiofrequenzsignale liegentypischerweise in 
den fur drahtlose LAN reservierten Frequenzbandern 
zwischen 800 MHz und 6000 MHz, wie z.B. in der USA 
von der United States Federal Communication Commis- 
sion (FCC) festgesetzten drei Frequenzbander: 
902-928 MHz, 2400-2483.5 MHz und 5725-5850 MHz 
(D 1 5 of Title 47 Code of Federal Regulations). Sie kon- 
nen aber beispielsweise auch im Bereich von 400 MHz, 
wie sie z.B. bei elektronischen, drahtlosen Garagenoff- 
nern iiblich sind, oder bei den vor kurzem in Deutsch- 
land und der Schweiz versteigerten WLL (Wireless-Lo- 
cal-Loop) Frequenzen bei z.B. 26 GHz fur Wireless-Lo- 
cal-Loop Verf ah ren, liegen. Es istjedoch darauf hinzu- 
weisen, dass auch andere Frequenzen moglich sind, 
ohne dass das Wesen der Erfindung damit beruhrt wiir- 
de. So konnen prinzipiell fur die Erfindung auch Infra- 
rotsignale wie z.B. IrDA, IR-LAN etc. benutzt werden. 
Die Bridgefunktionen der Basisstation 1 konnen z.B. ge- 
mass IEEE Std. 802.1 D-1 990 "Media Access Control 
Bridges" S. 31-47 realisiert sein. Die vom Benutzer 10 
bestimmbaren Zusatzinformationsdaten konnen bei- 
spielsweise geographische und/oder topographische 
und/oder zeitliche Angaben umfassen. Unter geogra- 
phische und/oder topographische Angaben konnen bei- 
spielsweise Ortsbezeichnungen, Strassennamen, Orts- 
und/oder Landercodes, Gebaudebezeichnungen, geo- 
graphische Langen- und/oder Breitenangaben, Adres- 
sen etc. etc., aber auch topographische Angaben im 
weiteren Sinn, so z.B. topographische Angaben bezug- 
lich des Netzwerkes, des Dienstanbieters, der Gebau- 
destruktur etc. fallen. Die Zusatzinformationsdaten kon- 
nen auch aus einer Kombination der oben erwahnten 
Angaben bestehen. Der Identifikationscode kann z.B. 
einen Benutzername (Username), Adressangaben 
oder andere Bezeichnungen umfassen, wie z.B. eine 
IMSI (International Mobile Subscriber Identification) 
und/oder eine MSISDN (Mobile Subscriber ISDN) oder 
irgendeine andere Identifikationsnummer (ID). Als spe- 
zielle Ausfuhrungsvariante kann z.B. die MSISDN des 
Mobilfunkgerates 20 verwendet werden, an welche das 
Login-Passwort geschickt wird. Dies hat den Vorteil, 
dass der Benutzer 10 zusammen mit der Identifikation 
gerade auch das Mobilfunkgerat 20 angeben kann, an 
welches die MSISDN geschickt werden soil. So kann 
sich ein Benutzer 1 0 mit verschiedenen MSISDN bei der 
Zentraleinheit 30 identifizieren und spater mit dem Lo- 
gin-Passwort 22 etc. entsprechend authentifizieren, 
ohne dass der Benutzer 10 vorgangig im System, z.B. 
in derDatenbank31 der Zentraleinheit 30 registriertsein 
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muss. Die Zentraleinheit 30 kann die Identifikation mit- 
tels der MSISDN z.B. uber den Mobilfunknetzdienstan- 
bieter des Mobilfunknetzes 51 erhalten. Der Identifika- 
tionscode des Benutzers 1 0 zusammen mit den vom 
Benutzer 10 bestimmbaren Zusatzinformationsdaten 
konnen z.B. mittels Eingabeelementen des mobiien No- 
des 60, 65 vom Benutzer 10 eingegeben werden 
und/oder mit einem IVR-Modul (Interactive Voice Re- 
sponse) der Zentraleinheit 30 ubermittelt werden. Ba- 
sierend auf dem Identifikationscode und den vom Be- 
nutzer 1 0 bestimmbaren Zusatzinformationsdaten wird 
von der Zentraleinheit 30 ein Login-Passwort 22 gene- 
riert und an ein dem Benutzer 10 zugeordnetes Mobil- 
funkgerat 20 eines Mobilfunknetzes 51 gesendet. Die 
Identifikation des Mobilfunkgerates 20 kann z.B. mittels 
einer Chipkarte 21 erfolgen. Bei der Chipkarte 21 kann 
es sich z.B. urn eine SIM-Karte (Subscriber Identificati- 
on Module) oder Smart-Card handeln, wobei der Chip- 
karte 21 jeweils eine Rufnummerzugeordnet ist. DieZu- 
ordnung der Chipkarte 21 zu einer Rufnummer kann z. 
B. uber ein HLR (Home Location Register) erfolgen, in- 
dem im HRL die IMSI (International Mobile Subscriber 
Identification) einer Rufnummer z.B. einer MSISDN 
(Mobile Subscriber ISDN) zugeordnet abgespeichert 
ist. Die IMSL kann z.B. in einem geschutzten Speicher- 
bereich der Chipkarte 21 abgespeichert sein. Die Chip- 
karte 21 kann wiederentfernbar uber eine kontaktbehaf- 
tete und/oder kontaktlose Schnittstelle mit dem Mobil- 
fun kgerat 20 verbunden, wie esin Europaublich ist oder 
als fixer Bestandteil in das Mobilfunkgerat 20 integriert 
sein, wie es in der USA gebrauchlicher ist. Als Identifi- 
kation kann z.B. die MSISDN, die IMS! oder eine andere 
Identifikationsnummer (ID) verwendet werden. Falls die 
Rufnummer der Chipkarte 21 nicht gleichzeitig als Iden- 
tifikation verwendet wurde, so existiert eine eindeutige 
Verkniipfung der Rufnummer mit der Identifikation in der 
Zentraleinheit 30. Als zusatzliche Sicherheit kann die 
Identifikation von der Zentraleinheit 30 z.B. mit einem 
CLl-Modul 21 (Calling Line Identification) mittels An- 
schlusserkennung derzugeordneten MSISDN automa- 
tisch erkannt und verifiziert werden. Das von der Zen- 
traleinheit 30 generierte Login-Passwort 22 kann z.B. 
mittels SMS (Short Message Service) und/oder USSD 
(Unstructured Supplementary Service Data) Interface 
von der Zentraleinheit 30 an das dem Benutzer 10 zu- 
geordnetes Mobilfunkgerat 20 gesendet. Es konnen da- 
zu aber auch spezielle Datendienste wie GPRS (Gene- 
ralized Packet Radio Service) oder WAP (Wireless Ap- 
plication Protocol) oder Ahnliches verwendet werden. 
Das Mobilfunknetz 51 kann z.B. ein terrestrisches Mo- 
bilfunknetz, beispielsweise ein GSM- oder UMTS-Netz 
oder ein satellitenbasiertes Mobilfunknetz, insbesonde- 
re Festnetze wie das offentliche Telefonnetz PSTN um- 
fassen. Der Benutzer 10 erhalt so uber das Mobilfunk- 
gerat 20 das Login-Passwort 22 und meldet die mobile 

Netzwerkeinheit60 65 mittels des erhaltenen Login- 

Passworts 22 im WLAN 40, 41 , 42 an, wobei benutzer- 
spezifische Authentifikationsdaten, welche mindestens 



das erhaltene Login-Passwort 22 umfassen, an die Zen- 
traleinheit 30 ubermittelt werden. Das Login-Passwort 
22 kann der Benutzer z.B. mittels der Eingabeelemente 
des mobiien Nodes 60, 65 angeben. Die benutzer- 

5 spezifische Authentifikationsdaten werden mittels der 
Zentraleinheit 30 mit mindestens Teilen von zur Authen- 
tication in einer Datenbank 31 zugeordnet abgespei- 
cherten Benutzerdaten verglichen. Die Datenbank 31 
kann zugeordnet zur Zentraleinheit 30 oder als eigen- 

10 standige Netzwerkeinheit realisiert sein. Bei erfolgrei- 
cher Authentifizierung gibt die Zentraleinheit 30 die mo- 
biien Netzwerkeinheiten 60, 65 zur Benutzung des 
WLAN 40, 41 , 42 frei. Es ist darauf hinzuweisen, dass 
das WLAN, wie erwahnt mittels Bridgefunktionen z.B. 

15 an weitere Netze. welche festverdrahtete Netzwerke 
(wired LAN und/oder WAN) umfassen, angebunden 
sein kann, insbesondere z.B. an Firmen-interne oder - 
ubergreifende intranets und/oder das weltweite Back- 
bo ne-Netzwerk, das sog. Internet, und/oder das offent- 

20 Hch geschalteteTelefonnetzwerk etc. Auch istzu erwah- 
nen, dass, um den Sicherheitsstandard bei der Uber- 
mittlung zwischen den verschiedenen Einheiten der Er- 
findung (Zentraleinheit 30, Access Point 401 , 41 1 , 421 , 
Mobilfunkgerat 20) zu erhohen, die ausgetauschten In- 

25 formationen zusatzlich verschlusselt werden konnen z. 
B. durch feste, dynamische, symmetrische. asymmetri- 
sche oder andere Verschlusselungsalgorithmen. 
[001 8] Figur 2 illustriert eine Architektur, die zur Rea- 
lisierung der Erfindung verwendet werden kann. In die- 

30 sem Ausfuhrungsbeispiel wird beim Anmelden einer 
mobiien Netzwerkeinheit eines Benutzers 10 in einem 
WLAN 43, 48 zur Authentifikation des Benutzers 10 
ein Identifikationscode des Benutzers 1 0 zusammen mit 
vom Benutzer 1 0 bestimmbaren Zusatzinformationsda- 

35 ten uber einen Access Point 431, 441,..., 481 des 
WLAN 43,..., 48 an eine Zentraleinheit 30 ubermittelt. 
Die mobiien Netzwerkeinheiten 60, 65 oder mobiien 
Nodes konnen, wie im Ausfuhrungsbeispiel von Figur 1 , 
z.B. Laptops, Notebooks, PDAs (Personal Digital Assi- 

40 stant) oder Mobilfunkgerate, insbesondere Mobilfunkte- 
lefone sein. Die mobiien Nodes 60, ...,65 sind mit einer 
entsprechenden Schnittstelle hard- und softwaremas- 
sig ausgestattet, um sie in ein lokales drahtloses Com- 
puternetzwerk (WLAN) einzubinden. Sie kommunizie- 

45 ren mittels Radiofrequenzsignalen mit den Access 
Points 401 , 41 1 , 421 des WLAN 40, 41 , 42. Die mobiien 
Nodes konnen z.B. einen Adapter umfassen, welcher 
einen Sender/Empfanger sowie eine Kontrollkarte um- 
fasst (wie z.B. lnfrarot(lR)-Adapter oder einen Tieffre- 

50 quenzradiowellen-Adapter). Damit lassen sich die mo- 
biien Nodes 60, 65 innerhalb der Reichweite des 
wireless LANs frei bewegen. Die weitere technische 
Ausfuhrung kann dem Ausfuhrungsbeispiel 1 entnom- 
men werden und muss an dieser Steile zur genugenden 

55 Offenbarung nicht wiederholt werden, da es dem Fach- 
mann auf dem Gebiet anhand von Ausfuhrungsbeispiel 
1 klar ist. Der Benutzer 10 hat in diesem Ausfuhrungs- 
beispiel 2 im Gegensatz zum Ausfuhrungsbeispiel 1 die 
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Moglichkeit, sich in unterschiedlichen WLAN uber die 
gleicheZentraleinheit30anzumelden. Dabei kommuni- 
zieren jeweils die Access Points 431 , 441 , 481 eines 
bestimmten WLAN 43, 48 mit einem zugeordneten 
Radiusserver 70, 71. Die Access Points 431, 441, 
481 konnen z.B. uber physikalische Medien 53, 54, wie 
z.B. Koaxialkabel, Twisted Pair oder optische Glasfa- 
serkabel mit den zugeordneten Radiusservern 70, 71 
verbunden sein. Mehrere Radiusserver 70, 71 unter- 

schiedlicher WLAN 43 48 sind jeweils mit einer Zen- 

traieinheit 30 ebenfalls z,B. uber physikalische Medien 
53, 54. wie z.B. Koaxialkabel, Twisted Pair oder opti- 
sche Glasfaserkabel verbunden. Die Kommunikations- 
kanale 51/52/53 zwischen der Zentraleinheit 30, den 
Radiusservern 70, 71 und den Access Points 431, 
441, 481 konnen z.B. ein Telekommunikationsnetz, 
beispielsweise ein Festnetz, wie ein LAN (Local Area 
Network) oder WAN (Wide Area Network), das offentli- 
che geschaltete Telefonnetz (PSTN, Public Switched 
Telephone Network und/oder ISDN (Integrated Services 
Digital Network), das Internet oder ein anderes Kommu- 
nikationsnetz, insbesondere ein Mobilfunknetz, wie ein 
terrestrisches Mobilfunknetz, z.B. ein GSM- oder 
UMTS-Netz, oder ein satellitenbasiertes Mobilfunknetz 
umfassen. Die Kommunikation zwischen der Zentral- 
einheit 30, den Radiusservern 70, 71 und den Access 
Points 431 , 441 , 481 kann z.B. uber ein TCP/IP-In- 
terface und/oder CORBA-lnterface, ein ATM-Modul, ein 
SMS- und/oder USSD-Gateway mittelsspeziellen Kurz- 
meldungen, beispielsweise SMS- (Short Message Ser- 
vices), USSD- (Unstructured Supplementary Services 
Data) Meldungen oder andere Techniken wie MExE 
(Mobile Execution Environment), uber Protokolle wie 
GPRS (Generalized Packet Radio Service), WAP (Wire- 
less Application Protokoll) oder uber einen Nutzkanal 
erfolgen. Der Datentransfer zwischen derZentraleinheit 
30, den Radiusservern 70, 71 und den Access Points 
431 1 441 1 481 wird z.B. uber software- oder hard- 
waremassig implementierte Transfermodule der Zen- 
traleinheit 30, den Radiusserver 70, 71 sowie der Ac- 
cess Points 431 , 441 , 481 eingeleitet und durchge- 
fuhrt. Die vom Benutzer 10 bestimmbare Zusatzinfor- 
mationsdaten konnen beispielsweise geographische 
und/oder topographische und/oder zeitliche Angaben 
umfassen. Basierend auf dem Identifikationscode, der 
vom Benutzer 10 bestimmbaren Zusatzinformationsda- 
~ ten und/oder serverspezifischen Daten der Radiusser- 
ver 70, 71 generiertwird, in dessenWLAN 43, ...,48 der 
Benutzer 1 0 die mobile Netzwerkeinheit anmeldet, wird 
von der Zentraleinheit 30 ein Login-Passwort 22 gene- 
riert und an ein dem Benutzer 1 0 zugeordnetes Mobil- 
funkgerat 20 eines Mobilfunknetzes 51 gesendet. Das 
Login-Passwort 22 wird von derZentraleinheit ebenfalls 
an den Radiusserver 70, 71 ubermittelt. In einem ande- 
ren Ausfuhrungsbeispiel ist es auch vorstellbar, dass 
der Radiusserver 70, 71 basierend auf den eigenen ser- 
verspezifischen Daten und von der Zentraleinheit 30 
ubermittelten, benutzerspezifischen Daten das Login- 



Passwort 22 generiert, welches zur Authentifizierung 
des Benutzers 10 beim Radiusserver 70, 71 dient. Da- 
durch muss das Login-Passwort 22 von der Zentralein- 
heit 30 nichtmehran den Radiusserver 70, 71 ubermit- 

5 telt werden, was die Sicherheit zusatzlich erhoht. Der 
Benutzer 10 meldet die mobile Netzwerkeinheit mittels 
des erhaltenen Login-Passworts 22 bei den entspre- 
chenden Radiusserver 70, 71 im WLAN 43, 48 an, 
wobei benutzerspezifische Authentifikationsdaten, wel- 

10 che mindestens das erhaltene Login-Passwort 22 um- 
fassen, an die Zentraleinheit 30 ubermittelt werden. Die 
benutzerspezifischen Authentifikationsdaten werden 
mittels der Zentraleinheit 30 und/oder dem Radiusser- 
ver 70, 71 mit mindestens Tei I en von zur Authentifikation 

15 in einer Datenbank 31 zugeordnet abgespeicherten Be- 
nutzerdaten verglichen. Die Datenbank 31 kann zuge- 
ordnet zur Zentraleinheit 30 oder als eigenstandige 
Netzwerkeinheit realisiert sein. Ebenfalls konnen die 
Radiusserver 70, 71 entsprechende Datenbanken be- 

20 sitzen. Bei erfolgreicher Authentifizierung gibt der Radi- 
usserver 70, 71 die mobllen Netzwerkeinheit zur Ben ut- 
zung des WLAN 43, 48 frei. In einem weiteren Aus- 
fuhrungsbeispiel, als Variante zum oben Beschriebe- 
nen, ist es auch moglich, dass der Benutzer 10 nurZu- 

25 griff auf das WLAN 43, 48 desjenigen Radiusservers 
70, 71 erhalt, uberwelchem derZu griffs request der mo- 
bilen Netzwerkeinheit erfolgte und/oder, dessen geo- 
graphischen und/oder topographischen und/oder zeitli- 
chen Daten mit den vom Benutzer 1 0 bestimmbaren Zu- 

30 satzinformationsdaten ubereinstimmen, Durch das Ein- 
schranken des topographischen oder zeitlichen Rah- 
mens zum Anmelden, ist es klar, dass die Sicherheit bei 
der Authentifikation urn ein Vielfaches erhoht werden 
kann. Auch bei diesem Ausfuhrungsbeispiel ist zu er- 

35 wahnen, dass, um den Sicherheitsstandard bei der 
Ubermittlung zwischen den verschiedenen Einheiten 
der Erfindung (Zentraleinheit 30, Radiusserver 70, 71 , 
Access Point 431, 441, 481, Mobilfunkgerat 20) zu 
erhohen, die ausgetauschten Informationen zusatzlich 

40 verschlusselt werden konnen, z.B. durch feste, dynami- 
sche, symmetrische, asymmetrische oder andere Ver- 
schlusselungsalgorithmen. 

Liste der Bezugszeichen 

45 

[0019] 

10 Benutzer 
20 Mobilfunkgerat 
so 21 Chipkarte (SIM-Karte) 
22 Login-Passwort 

30 Zentraleinheit 

31 Datenbank 

40, ...,48Zellen des WLAN 

55 

401, 411, 481 Access Point bzw. Basissta- 
tionen 
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50, 52, 53, 54 Netzwerke 
51 Mobilfunknetz 

60 65 mobile Netzwerkeinheiten 

70, 71 Radius Server 



Patentanspruche 

1 . Verfahren zum Anmelden einer mobilen Netzwerk- 
einheit (60, 65) eines Benutzers (10) in einem 
WLAN (40, 48), wobei zur Authentifikation des 
Benutzers (10) benutzerspezifische Authentifikati- 
onsdaten uber einen Access Point (401, 
411,421, 481) des WLAN (40,.., 48) an eine 
Zentraieinheit (30) ubermittelt werden, wobei die 
benutzerspezifischen Authentifikationsdaten mit 
mindestens Teilen von zur Authentifikation in einer 
Datenbank (31) zugeordnet abgespeicherten Be- 
nutzerdaten mittels der Zentraieinheit (30) vergli- 
chen werden und wobei bei erfolgreicher Authenti- 
fizieruhg die mobile Netzwerkeinheit (60, .., 65) zur 
Benutzung des WLAN (40, .., 48)freigegeben wird, 
dadurch gekennzeichnet, 

dass die mobile Netzwerkeinheit (60, 65) 
einem Identifikationscode des Benutzers (10) zu- 
sammen mit vom Benutzer (10) bestimmbare Zu- 
satzinformationsdaten an die Zentraieinheit (30) 
ubermittelt, 

dass die Zentraieinheit (30) basierend auf 
dem Identifikationscode und der vom Benutzer (10) 
bestimmbaren Zusatzinformationsdaten ein Login- 
Passwort (22) generiert und das Login-Passwort 
(22) an ein dem Benutzer (10) zugeordnetes Mobil- 
funkgerat (20) eines Mobilfunknetzes (51) sendet, 
und 

dass der Benutzer (1 0) die mobile Netzwerk- 
einheit (60, 65) mittels des erhaltenen Login- 
Passworts (22) im WLAN (40, .., 48) anmeldet. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass die vom Benutzer (10) bestimmba- 
ren Zusatzinformationsdaten geographische und/ 
oder topographische Angaben umfassen. 

3. Verfahren nach einem der Anspruche 1 oder 2, da- 
durch gekennzeichnet, dass die vom Benutzer 
(10) bestimmbaren Zusatzinformationsdaten Zeit- 
angaben umfassen. 

4. Verfahren nach einem der Anspruche 1 oder 3, da- 
durch gekennzeichnet, dass die Access Points 
(401 , 41 1 , 421 , .., 481 ) eines WLAN (40, .... 48) mit 
einem zugeordneten Radiusserver (70, 71) kom- 
munizieren und mehrere Radiusserver (70, 71) un- 
terschiedlicher WLAN (40, .., 48) mit der Zentrai- 
einheit (30) verbunden sind, wobei das Login-Pass- 
wort (22) zusatzlich basierend auf serverspezifi- 
schen Daten des Radiusservers (70, 71) generiert 



wird, in dessen WLAN (40, ..,48) der Benutzer (1 0) 
die mobile Netzwerkeinheit (60 65) anmeldet. 

5. Verfahren nach Anspruch 4, dadurch gekenn- 
5 zelchnet, dass der Radiusserver (70, 71) basie- 
rend auf seinen serverspezifischen Daten und von 
der Zentraieinheit (30) ubermitteiten, benutzerspe- 
zifischen Daten das Login-Passwort (22) generiert, 
welches zur Authentifizierung des Benutzers (10) 

10 beim Radiusserver (70, 71) dient. 

6. Verfahren nach einem der Anspruche 4 oder 5, da- 
durch gekennzeichnet, dass der Benutzer (10) 
nur Zugriff auf das WLAN (40, .... 48) desjenigen 

15 Radiusservers (70, 71) erhalt, uber welchem der 
Zugriffsrequest der mobilen Netzwerkeinheit 
(60 65) erfolgte. 

7. Verfahren nach einem der Anspruche 4 bis 6, da- 
20 durch gekennzeichnet, dass der Benutzer (10) 

nur Zugriff auf das WLAN (40, .., 48) desjenigen 
Radiusservers (70, 71) erhalt, dessen geographi- 
sche und/oder topographische Daten mit den vom 
Benutzer (10) bestimmbaren Zusatzinformations- 
25 daten ubereinstimmen. 

8. Verfahren nach einem der Anspruche 1 bis 7, da- 
durch gekennzeichnet, dass ais Identifikationsco- 
de des Benutzers (10) eine IMSI und/oder eine 

30 MSISDN verwendet wird. 

9. System zur Authentifikation eines Benutzers (10) in 
einem WLAN (40, .., 48), wobei das WLAN (40, .., 
48) mindestens einen Access Point (401, 411, 

35 421 , .., 481) umfasst, welcher Mittel zum Ubermit- 
teln von benutzerspezifischen Authentifikationsda- 
ten der mobilen Netzwerkeinheit (60,'..., 65) uber 
einen Access Point (401, 411, 421, .., 481) des 
WLAN (40, .., 48) an eine Zentraieinheit (30) um- 

40 fasst, wobei die Zentraieinheit (30) Mittel zum Ver- 
gleichen der benutzerspezifische Authentifikations- 
daten mit mindestens Teilen von zur Authentifikati- 
on in einer Datenbank (31) zugeordnet abgespei- 
cherten Benutzerdaten umfasst, dadurch gekenn- 

45 zeichnet, 

dass die mobile Netzwerkeinheit (60, .., 65) 
Mittel zum Ubermitteln von einem Identifikationsco- 
de des Benutzers (1 0) zusammen mit vom Benutzer 
(10) bestimmbaren Zusatzinformationsdaten an die 

50 Zentraieinheit (30) umfasst, 

dass die Zentraieinheit (19) Mittel zum Gene- 
rieren eines Login -Pass worts (22) basierend auf 
dem Identifikationscode und der vom Benutzer (1 0) 
bestimmbaren Zusatzinformationsdaten ein Login- 

55 Passwort (22) umfasst, und 

dass die Zentraieinheit (30) Mittel zum Sen- 
den des Login- Passworts (22) an ein Mobilfunknetz 
(51) umfasst, wobei der Benutzer (10) Abonnent 
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des genannten Mobilfunknetzes (51) ist. 

10. System nach Anspruch 9, dadurch gekennzeich- 
net, dass die vom Benutzer (1 0) bestimmbaren Zu- 
satzinformationsdaten geographische und/oder to- 5 
pographische Angaben umfassen. 

11. System nach einem der Anspruche 9 oder 10, da- 
durch gekennzeichnet, dass die vom Benutzer 
(10) bestimmbaren Zusatzinformationsdaten Zeit- 10 
angaben umfassen. 

12. System nach einem der Anspruche 9 oder 11, da- 
durch gekennzeichnet, dass das System mehre- 

re unterschiedliche WLAN (40, .... 48) umfasst, wo- 15 
bei jedes WLAN (40, .... 48) einen zugeordneten 
Radiusserver (70, 71 ) mit jeweils mindestens einem 
Access Point (401 , 411 , 421 , .... 481), wobei die Ra- 
diusserver (70, 71) unterschiedlicherWLAN (40, .... 
48) mit der Zentraleinheit (30) verbunden sind und 20 
wobei das Generieren des Login-Passworts (22) 
zusatzlich serverspezifische Daten eines Radius- 
server (70, 71) umfasst. 

13. System nach Anspruch 12, dadurch gekennzeich- 25 
net, dass der Radiusserver (70, 71 ) ebenfalls Mittel 
zum Generieren des Login-Passworts (22) zur Au- 
thentifizierung des Benutzers (10) basierend auf 
ubermittelten Daten der Zentraleinheit (30) um- 
fasst. 30 

14. System nach einem der Anspruche 12 oder 13, da- 
durch gekennzeichnet, dass fur den Benutzer 
(10) nur das WLAN (40, 48) desjenigen Radius- 
servers (70, 71) zugreifbar ist, uber welchem der 35 
Zugriffsrequest der mobilen Netzwerkeinheit 
(60, 65) erfolgte. 

15. System nach einem der Anspruche 12 bis 14, da- 
durch gekennzeichnet, dass fur den Benutzer 40 
(10) das WLAN (40, 48) desjenigen Radiusser- 
vers (70, 71) zugreifbar ist, dessen geographische 
und/oder topographische Daten mit den vom Be- 
nutzer (10) bestimmbaren Zusatzinformationsda- 
ten ubereinstimmen. 45 

16. System nach einem der Anspruche 9 bis 15, da- 
durch gekennzeichnet, dass der Identifikations- 
code des Benutzers (10) eine IMSI und/oder eine 
MSISDN umfasst. so 
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